Ausschließen von Domänen- und Ausschließen von Anwendungssplit-Tunneling, die Probleme mit mehreren Anwendungen auf macOS Catalina verursachen

Wenn GlobalProtect mit der Domäne und/oder der Ausschlussanwendung konfiguriert ist, um Datenverkehr über den physischen Adapter zu senden, frieren mehrere Anwendungen auf macOS Catalina 10.15.x

ein oder fehler. In Google Chrome sieht man beispielsweise Fehler wie "ERR_NETWORK_CHANGED" oder "ERR_TIMED_OUT" im Browser.
In ähnlicher Weise verliert die Anwendung für die Microsoft Teams-App zeitweise die Verbindung, und im Teams-Protokoll wird ein ähnlicher Fehler angezeigt (siehe Fehler unten).

-- info -- OnErrorOccurred - Description: CNS:Get Method: GET Error: net::ERR_TIMED_OUT

• GlobalProtect Kunden 5.1 und 5.2.
• macOS Catalina 10.15.x.
• Betroffene Browser: Chrome
• Betroffene Anwendungen: Microsoft Teams.

• Das Problem scheint sich nur auf macOS Catalina 10.15.x zu auswirken, wenn das Gateway so konfiguriert ist, dass es GlobalProtect "Domäne ausschließen" und/oder "Anwendung ausschließen" verwendet.
• Die Ursache scheint mit dem macOS-Systemaufruf API im Zusammenhang mit Systemerweiterung speziell für macOS Catalina zu sein.
• Palo Alto Networks hat eine Anfrage mit Apple eröffnet und weitere Details können auf diesem Link in Apple Entwicklerforen eingesehen werden.
• Weitere Informationen finden Sie unter Apple Bug ID FB7868606 und im Haftungsausschluss von Palo Alto Networks unten.

• Upgrade auf das neueste macOS BigSur 11.2.x oder höher
• Wenn Sie kein Upgrade auf macOS BigSur durchführen können, verwenden Sie einfach den vollständigen Tunnel in der GlobalProtect Gateway-Konfiguration, indem Sie den geteilten Tunnel deaktivieren.
• Wenn Sie das Split-Tunneling auf der Gateway-Konfiguration nicht deaktivieren GlobalProtect können, können Sie auch den Safari- oder Firefox-Browser als Problemumgehung verwenden.

Haftungsausschluss: Bitte beachten Sie die folgenden Anweisungen zu Apples Systemerweiterungen und Chrome Browser mit begrenzten Informationen, die über ihre jeweiligen Websites, Dokumentationen und Support-Tickets zur Verfügung gestellt werden. Palo Alto Networks ist nicht verantwortlich und kann auch nicht für Informationen, die auf Produkten Dritter bereitgestellt werden, für die Funktionalität von Produkten Dritter oder für zukünftige Produktänderungen in Produkten Dritter zur Verantwortung gezogen werden. 
Gemäß den Empfehlungen von Apple verwendet macOS Catalina, GlobalProtect 5.2.4 macOS System Extensions, um das Split-Tunneling von Datenverkehr zu Zielen basierend auf der Gateway-Konfiguration zu erleichtern. Wir stellten fest, dass Endbenutzer keine Probleme beim Zugriff auf Split-Tunnel-Ziele auf Safari hatten, aber der Chrome-Browser zeigte ständig A "Netzwerkänderungen wurden erkannt, ERR_NETWORK_CHANGED." oder manchmal würde das Laden lange dauern. 
GlobalProtect verwendet API [setTunnelNetworkSettings], um die neuen IPs so einzustellen, wie sich die IP für bestimmte Domänen-/Unterdomäne ändert, da andernfalls die TCP /-Verbindung nicht an umgeleitet UDP GlobalProtect wird. Die Notwendigkeit, dies häufig API aufzurufen, wird auf sich ständig ändernde Cloud-IPs für SaaS-Anwendungen zurückgeführt. Apple schränkt eine Anwendung nicht daran ein, dies API mehrmals oder häufig aufzurufen. Googles Chrome-Browser versucht, Änderungen an Netzwerkschnittstellen zu überwachen, um eine gute Benutzererfahrung zu gewährleisten. Wenn GlobalProtect die [NEAppProxyProvider setTunnelNetworkSettings] aufrufen, um die Verwendungsfälle split-tunneling by Domains zu unterstützen, nimmt Chrome dies als Änderung der Netzwerkschnittstelle wahr, wodurch die Verbindung zur Websitedomäne gestört wird. Dieses Problem wird nicht in anderen Mainstream-Browsern wie Safari und Firefox gesehen.
Wir haben auch vor kurzem bemerkt, dass, wenn der obige Anwendungsfall mit macOS Big Sur zusammen mit GlobalProtect 5.2.4 Version getestet wurde: Domains einschließen, Domains ausschließen und alle Domains geöffnet, ohne err_network_changed Fehler im Chrome-Browser. Wir erwarten, dass dies auf Änderungen in Big Sur von Apple zurückzuführen sein könnte, die sich auf das Systemerweiterungsverhalten auswirken. Apple oder Google haben keine offizielle Bestätigung zu diesem Thema vorgelegt.

Apple Developer Forum

Hinweis: Andere Anwendungen können auch von diesem Problem betroffen sein.